انټرنیټ داسې ښکاري چې یو پیاوړی، خپلواک او نه ویجاړونکی جوړښت دی. په تیوري کې، شبکه دومره پیاوړې ده چې د اټومي چاودنې ژوندي پاتې شي. په حقیقت کې، انټرنیټ کولی شي یو کوچنی روټر پریږدي. ټول ځکه چې انټرنیټ د پیشوګانو په اړه د تضادونو ، زیانونو ، غلطیو او ویډیوګانو ډنډ دی. د انټرنېټ ملا، BGP، له ستونزو ډک دی. دا حیرانتیا ده چې هغه لاهم تنفس کوي. په انټرنیټ کې د غلطیو سربیره، دا د ټولو او ډول ډولونو لخوا هم مات شوی دی: لوی انټرنیټ چمتو کونکي، کارپوریشنونه، دولتونه او د DDoS بریدونه. څه باید وکړو او څنګه ورسره ژوند وکړو؟
په ځواب پوهیږي الیکسي یوچاکین () په IQ اختیار کې د شبکې انجینرانو د ټیم مشر دی. د دې اصلي دنده د کاروونکو لپاره د پلیټ فارم لاسرسی دی. د الیکسي د راپور په نقل کې راځئ چې د BGP، DDOS بریدونو، د انټرنیټ سویچونو، چمتو کونکي تېروتنې، غیر مرکزي کولو او قضیو په اړه وغږیږو کله چې یو کوچنی روټر د خوب لپاره انټرنیټ لیږلی. په پای کې - د دې ټولو ژوندي پاتې کیدو څرنګوالي په اړه یو څو لارښوونې.
هغه ورځ چې انټرنیټ مات شو
زه به یوازې یو څو پیښې په ګوته کړم چیرې چې د انټرنیټ اتصال مات شو. دا به د بشپړ انځور لپاره کافي وي.
"AS7007 پیښه". د لومړي ځل لپاره انټرنیټ د 1997 په اپریل کې مات شو. د 7007 خودمختار سیسټم څخه د یو روټر سافټویر کې بګ شتون درلود. په یو وخت کې، روټر خپل ګاونډیو ته د داخلي روټینګ میز اعلان کړ او د شبکې نیمایي برخه یې په تور سوري کې واستوله.
"پاکستان د یوټیوب پر وړاندې". په 2008 کې، د پاکستان زړورو هلکانو پریکړه وکړه چې یوټیوب بلاک کړي. دوی دا دومره ښه وکړل چې نیمه نړۍ له پیشوګانو پرته پاتې شوه.
"د Rostelecom لخوا د ویزا، ماسټر کارډ او سیمانټیک مختګونو نیول". په 2017 کې، Rostelecom په غلطۍ سره د VISA، MasterCard او Symantec مخکیني اعلانونه پیل کړل. د پایلې په توګه، مالي ټرافیک د چمتو کونکي لخوا کنټرول شوي چینلونو له لارې لیږدول شوی. لیک اوږد نه و، مګر دا د مالي شرکتونو لپاره ناخوښه و.
ګوګل د جاپان په وړاندې. د اګست په 2017 کې، ګوګل په خپلو ځینو اپلنکونو کې د لوی جاپاني چمتو کونکو NTT او KDDI مخکیني اعلانونه پیل کړل. ټرافیک د ټرانزیټ په توګه ګوګل ته لیږل شوی، ډیری احتمال په غلطۍ سره. څرنګه چې ګوګل یو برابرونکی نه دی او د ټرانسپورټ ټرانسپورټ ته اجازه نه ورکوي، د جاپان یوه مهمه برخه د انټرنیټ پرته پاتې وه.
"DV LINK د ګوګل، ایپل، فیسبوک، مایکروسافټ مختګونه نیولي". همدارنګه په 2017 کې، د روسیې چمتو کونکي DV LINK د یو څه دلیل لپاره د ګوګل، ایپل، فیسبوک، مایکروسافټ او ځینو نورو لویو لوبغاړو شبکې اعلانول پیل کړل.
"د متحده ایالاتو څخه eNet د AWS Route53 او MyEtherwallet مختګونه نیولي دي". په 2018 کې، د اوهایو چمتو کونکي یا د هغې یو پیرودونکي د Amazon Route53 او MyEtherwallet کریپټو والټ شبکې اعلان کړې. برید بریالی و: حتی د ځان لاسلیک شوي سند سره سره ، یو خبرداری چې د MyEtherwallet ویب پا toې ته د ننوتلو پرمهال کارونکي ته څرګند شو ، ډیری والټونه تښتول شوي او د کریپټو کرنسی یوه برخه غلا شوې.
یوازې په 2017 کې له 14 څخه ډیرې پیښې وې! شبکه لاهم غیر متمرکزه ده، نو هر څه نه او هرڅوک نه ماتیږي. مګر په زرګونو پیښې شتون لري، ټول د BGP پروتوکول پورې تړاو لري چې انټرنیټ ځواکوي.
BGP او د هغې ستونزې
پروتوکول BGP - د سرحدي دروازې پروتوکول، په لومړي ځل په 1989 کې د IBM او سیسکو سیسټمونو دوه انجینرانو لخوا په دریو "نیپکن" - A4 شیټونو کې تشریح شو. دا اوس هم په سان فرانسسکو کې د سیسکو سیسټمونو مرکزي دفتر کې د شبکې نړۍ د یوې برخې په توګه ناست دي.
پروتوکول د خپلواکو سیسټمونو د تعامل پر بنسټ والړ دی - خودمختاره سیسټمونه یا د لنډ لپاره AS. یو خودمختاره سیسټم په ساده ډول یو ID دی چې IP شبکې په عامه ثبت کې ګمارل شوي. د دې ID سره یو روټر کولی شي دا شبکې نړۍ ته اعلان کړي. په دې اساس، په انټرنیټ کې هره لاره د ویکتور په توګه ښودل کیدی شي، کوم چې ویل کیږي AS لاره. ویکتور د خپلواکو سیسټمونو شمیر لري چې باید د منزل شبکې ته د رسیدو لپاره تیر شي.
د بیلګې په توګه، د یو شمیر خپلواکو سیسټمونو شبکه شتون لري. تاسو اړتیا لرئ د AS65001 سیسټم څخه AS65003 سیسټم ته ورشئ. د یو سیسټم څخه لاره په ډیاګرام کې د AS لارې لخوا نمایش کیږي. دا دوه خپلواکه سیسټمونه لري: 65002 او 65003. د هر منزل پته لپاره د AS Path ویکتور شتون لري، کوم چې د خپلواکو سیسټمونو شمیر لري چې موږ ورته اړتیا لرو.
نو د BGP سره ستونزې څه دي؟
BGP د باور پروتوکول دی
د BGP پروتوکول د باور پر بنسټ دی. دا پدې مانا ده چې موږ د ډیفالټ له مخې په خپل ګاونډی باور لرو. دا د ډیری پروتوکولونو ځانګړتیا ده چې د انټرنیټ په پیل کې رامینځته شوي. راځئ چې پوه شو چې "باور" څه معنی لري.
د ګاونډي تصدیق نشته. په رسمي توګه، MD5 شتون لري، مګر په 5 کې MD2019 یوازې دا دی ...
نه فلټر کول. BGP فلټرونه لري او دوی تشریح شوي، مګر دوی نه کارول کیږي یا په غلط ډول کارول کیږي. زه به وروسته تشریح کړم چې ولې.
د ګاونډ تنظیم کول خورا اسانه دي. په نږدې هر روټر کې د BGP پروتوکول کې د ګاونډ تنظیم کول د ترتیب څو کرښې دي.
د BGP مدیریت حقونو ته اړتیا نشته. تاسو اړتیا نلرئ د خپل وړتیا ثابتولو لپاره ازموینې واخلئ. هیڅوک به د شرابو په وخت کې د BGP تنظیم کولو لپاره ستاسو حقونه نه اخلي.
دوه اساسي ستونزې
مخفف حجاب. پریفکس هیجیک کول د یوې شبکې اعلان کول دي چې تاسو پورې اړه نلري، لکه څنګه چې د MyEtherwallet سره قضیه ده. موږ ځینې مختګونه اخیستي، د چمتو کونکي سره یې موافقه کړې یا یې هیک کړې، او د هغې له لارې موږ دا شبکې اعلانوو.
د لارې لیکونه. لیکونه یو څه ډیر پیچلي دي. لیک د AS په لاره کې بدلون دی. په غوره توګه، بدلون به د ډیر ځنډ لامل شي ځکه چې تاسو اړتیا لرئ په اوږده لاره سفر وکړئ یا په لږ ظرفیت لینک کې. په بدترین ډول، د ګوګل او جاپان سره قضیه به تکرار شي.
ګوګل پخپله یو چلونکی یا د لیږد خپلواکه سیسټم ندی. مګر کله چې هغه خپل چمتو کونکي ته د جاپاني آپریټرانو شبکې اعلان کړې، د AS Path له لارې د ګوګل له لارې ټرافيک د لوړ لومړیتوب په توګه لیدل کیده. ترافیک هلته لاړ او په ساده ډول راټیټ شو ځکه چې د ګوګل دننه د روټینګ تنظیمات یوازې په پوله کې د فلټرونو په پرتله خورا پیچلي دي.
ولې فلټرونه کار نه کوي؟
هیڅوک پروا نه کوي. دا اصلي لامل دی - هیڅوک پروا نه کوي. د کوچني چمتو کونکي یا شرکت مدیر چې د BGP له لارې چمتو کونکي سره وصل شوی مایکرو ټیک اخیستی ، BGP یې تنظیم کړی او حتی نه پوهیږي چې فلټرونه هلته تنظیم کیدی شي.
د تشکیلاتو تېروتنې. دوی یو څه ګډوډ کړل ، په ماسک کې یې خطا وکړه ، غلط میش یې واچاوه - او اوس بیا یوه غلطي ده.
هیڅ تخنیکي امکان نشته. د مثال په توګه، د مخابراتو چمتو کونکي ډیری پیرودونکي لري. د ترسره کولو لپاره ښه کار دا دی چې د هر پیرودونکي لپاره په اتوماتيک ډول فلټرونه تازه کړئ - ترڅو وڅیړئ چې هغه نوې شبکه لري، چې هغه خپله شبکه یو چا ته په کرایه ورکړې ده. د دې تعقیب کول ستونزمن دي، او حتی ستاسو د لاسونو سره خورا ستونزمن دي. له همدې امله، دوی په ساده ډول آرامۍ فلټرونه نصبوي یا په بشپړ ډول فلټرونه نه نصبوي.
استثناوې. د محبوب او لوی پیرودونکو لپاره استثناوې شتون لري. په ځانګړي توګه د انټر آپریټر انٹرفیسونو په صورت کې. د مثال په توګه، TransTeleCom او Rostelecom د شبکو یوه ډله لري او د دوی ترمنځ یو انٹرفیس شتون لري. که ګډ راټیټ شي، دا به د هیچا لپاره ښه نه وي، نو فلټرونه آرام دي یا په بشپړه توګه لیرې شوي.
په IRR کې زاړه یا غیر اړونده معلومات. فلټرونه د معلوماتو پراساس جوړ شوي چې په کې ثبت شوي IRR - د انټرنیټ روټینګ راجستر. دا د سیمه ایز انټرنیټ راجستر کونکو راجسترونه دي. ډیری وختونه، راجسترونه زاړه یا غیر اړونده معلومات، یا دواړه لري.
دا راجستر کوونکي څوک دي؟
ټول انټرنیټ پتې په سازمان پورې اړه لري IANA - د انټرنیټ ټاکل شوي شمیرې اداره. کله چې تاسو د یو چا څخه IP شبکه اخلئ، تاسو پته نه اخلئ، مګر د دوی کارولو حق لرئ. ادرسونه یوه نه منونکې سرچینه ده او د ګډ تړون له مخې دا ټول د IANA ملکیت دي.
سیسټم د دې په څیر کار کوي. IANA پنځه سیمه ایزو راجستر کونکو ته د IP پتې او د خپلواک سیسټم شمیرې اداره کوي. دوی خپلواکه سیسټمونه خپروي LIR - د محلي انټرنیټ راجستر کونکي. LIRs بیا د پای کاروونکو ته IP پتې تخصیص کوي.
د سیسټم نیمګړتیا دا ده چې هر یو سیمه ایز راجستر خپل راجستر په خپله طریقه ساتي. هرڅوک په دې اړه خپل نظر لري چې کوم معلومات باید په راجسترونو کې موجود وي، او څوک یې باید وګوري یا یې ونه ګوري. پایله هغه ګډوډي ده چې موږ یې اوس لرو.
تاسو نور څنګه کولی شئ د دې ستونزو سره مبارزه وکړئ؟
IRR - منځنی کیفیت. دا د IRR سره روښانه ده - هلته هرڅه خراب دي.
BGP - ټولنې. دا ځینې ځانګړتیاوې دي چې په پروتوکول کې تشریح شوي. موږ کولی شو، د بیلګې په توګه، زموږ په اعلان کې یوه ځانګړې ټولنه ضمیمه کړو ترڅو یو ګاونډی زموږ شبکې خپلو ګاونډیانو ته ونه لیږي. کله چې موږ د P2P لینک لرو، موږ یوازې زموږ شبکې تبادله کوو. د دې لپاره چې لارې په ناڅاپي ډول نورو شبکو ته لاړ نشي، موږ ټولنه اضافه کوو.
ټولنې انتقالي نه دي. دا تل د دوو لپاره یو تړون دی، او دا د دوی نیمګړتیا ده. موږ نشو کولی هیڅ ټولنه وټاکو، د یوې استثنا سره، چې د هرچا لخوا د ډیفالټ لخوا منل کیږي. موږ ډاډه نه یو چې هرڅوک به دا ټولنه ومني او په سمه توګه یې تشریح کړي. له همدې امله ، په غوره حالت کې ، که تاسو د خپل اپ لینک سره موافق یاست ، نو هغه به پوه شي چې تاسو د ټولنې په شرایطو کې له هغه څخه څه غواړئ. مګر ستاسو ګاونډی ممکن نه پوهیږي، یا آپریټر به په ساده ډول ستاسو ټګ بیا تنظیم کړي، او تاسو به هغه څه ترلاسه نه کړئ چې تاسو یې غواړئ.
RPKI + ROA د ستونزو یوازې یوه کوچنۍ برخه حل کوي. RPKI دی د سرچینې عامه کلیدي زیربنا - د روټینګ معلوماتو لاسلیک کولو لپاره ځانګړی چوکاټ. دا یو ښه نظر دی چې LIRs او د دوی پیرودونکي مجبور کړئ چې د تازه پته ځای ډیټابیس وساتي. خو په دې کې یوه ستونزه شته.
RPKI د عامه کلیدي سیسټمونو درجه بندي هم ده. IANA یوه کیلي لري چې له کوم څخه د RIR کیلي تولید کیږي، او له کوم څخه د LIR کیلي تولید کیږي؟ د کوم سره چې دوی د ROAs په کارولو سره د خپل پته ځای لاسلیک کوي - د لارې اصلي اختیارونه:
- زه تاسو ته ډاډ درکوم چې دا مختګ به د دې خپلواکې سیمې په استازیتوب اعلان شي.
د ROA سربیره، نور شیان هم شتون لري، مګر د دوی په اړه نور وروسته. دا یو ښه او ګټور شی ښکاري. مګر دا موږ د "بالکل" کلمې څخه د لیکو څخه نه ساتي او د مخکیني حجاب سره ټولې ستونزې نه حل کوي. له همدې امله، لوبغاړي د دې پلي کولو لپاره بېړه نه کوي. که څه هم لا دمخه د لوی لوبغاړو لکه AT&T او لوی IX شرکتونو څخه تضمین شتون لري چې د غلط ROA ریکارډ سره مخکینۍ به له مینځه ویسي.
شاید دوی به دا وکړي، مګر د اوس لپاره موږ د مخکینیو لوی شمیر لرو چې په هیڅ ډول لاسلیک شوي ندي. له یوې خوا، دا روښانه نده چې ایا دوی په سمه توګه اعلان شوي. له بلې خوا، موږ نشو کولی دا د ډیفالټ له مخې پریږدو، ځکه چې موږ ډاډه نه یو چې دا سم دی که نه.
نور څه شته؟
BGPSec. دا یو ښه شی دی چې اکادمیکان د ګلابي پونی شبکې لپاره راغلل. هغوی وویل:
- موږ RPKI + ROA لرو - د پتې ځای لاسلیکونو تصدیق کولو میکانیزم. راځئ چې د BGP جلا ځانګړتیا جوړه کړو او ورته BGPSec لاره ووایو. هر روټر به د خپل لاسلیک سره هغه اعلانونه لاسلیک کړي چې دا خپلو ګاونډیانو ته اعلانوي. پدې توګه به موږ د لاسلیک شوي اعلاناتو سلسله څخه یو باوري لاره ترلاسه کړو او د دې وړتیا به ولرو.
په تیوري کې ښه، مګر په عمل کې ډیری ستونزې شتون لري. BGPSec د راتلونکي هپس غوره کولو او په مستقیم روټر کې د راتلونکي / وتلو ترافیک اداره کولو لپاره ډیری موجوده BGP میکانیکونه ماتوي. BGPSec تر هغه وخته پورې کار نه کوي چې د ټول بازار 95٪ یې پلي کړي، کوم چې پخپله یو یوټوپیا دی.
BGPSec د فعالیت لویې ستونزې لري. په اوسني هارډویر کې، د اعلانونو چک کولو سرعت په هر ثانیه کې نږدې 50 مخکینۍ دی. د پرتله کولو لپاره: د 700 مخکینیو اوسنی انټرنیټ جدول به په 000 ساعتونو کې اپلوډ شي، چې په ترڅ کې به یې 5 ځله بدل شي.
د BGP خلاص پالیسي (د رول پر بنسټ BGP). د ماډل پر بنسټ تازه وړاندیز Gao-Rexford. دا دوه ساینس پوهان دي چې د BGP تحقیق کوي.
د Gao-Rexford ماډل په لاندې ډول دی. د ساده کولو لپاره، د BGP سره د اړیکو لږ شمیر ډولونه شتون لري:
- عرضه کوونکي پیرودونکي؛
- P2P;
- داخلي اړیکه، iBGP ووایاست.
د روټر د رول پراساس، دا دمخه ممکنه ده چې د ډیفالټ په واسطه د وارداتو / صادراتو ځینې پالیسۍ وړاندې کړئ. مدیر اړتیا نلري د مخکیني لیست تنظیم کړي. د هغه رول پراساس چې روټرونه په خپل منځ کې موافق دي او کوم چې تنظیم کیدی شي ، موږ دمخه ځینې ډیفالټ فلټرونه ترلاسه کوو. دا اوس مهال یوه مسوده ده چې په IETF کې بحث کیږي. زه امید لرم چې ډیر ژر به موږ دا د RFC په بڼه او په هارډویر کې پلي کولو کې وګورو.
لوی انټرنیټ چمتو کونکي
راځئ چې د چمتو کونکي مثال وګورو CenturyLink. دا د متحده ایالاتو دریم لوی چمتو کونکی دی ، 37 ایالتونو ته خدمت کوي او 15 ډیټا مرکزونه لري.
د دسمبر په 2018 کې، سینچري لینک د 50 ساعتونو لپاره د متحده ایالاتو بازار کې و. د پېښې پر مهال په دوو ایالتونو کې د ATMs په چلولو کې ستونزې وې او په پنځو ایالتونو کې ۹۱۱ نمبر د څو ساعتونو لپاره کار نه کاوه. په اډاهو کې لاټري په بشپړ ډول ویجاړه شوې وه. دا پیښه اوس مهال د امریکا د مخابراتو کمیسیون لخوا تر څیړنې لاندې ده.
د تراژیدي لامل په یوه ډیټا مرکز کې د شبکې کارت و. کارت خراب شوی، غلط پاکټونه لیږل شوي، او د چمتو کونکي ټول 15 ډیټا مرکزونه ښکته شوي.
نظر د دې چمتو کونکي لپاره کار نه کوي "د سقوط لپاره خورا لوی". دا نظر بالکل کار نه کوي. تاسو کولی شئ کوم لوی لوبغاړی واخلئ او ځینې کوچني شیان په سر کې وساتئ. متحده ایالات لاهم د ارتباط په برخه کې ښه کار کوي. د سینچري لینک پیرودونکي چې زیرمه یې درلوده په ډرو کې دې ته لاړل. بیا بدیل آپریټرانو شکایت وکړ چې د دوی لینکونه ډیر بار شوي.
که مشروط قزاق ټیلیکام راټیټ شي، ټول هیواد به له انټرنیټ پرته پاتې شي.
کارپوریشنونه
شاید ګوګل، ایمیزون، فیسبوک او نور شرکتونه د انټرنیټ ملاتړ کوي؟ نه، دوی یې هم ماتوي.
په 2017 کې په سینټ پیټرزبرګ کې د ENOG13 کنفرانس کې جیف هیوسټن د APnic معرفي شوی . دا وايي چې موږ د متقابل عمل ، د پیسو جریان او په انټرنیټ کې ترافیک عمودی کیدو سره عادی یو. موږ کوچني چمتو کونکي لرو چې لویو ته د ارتباط لپاره تادیه کوي، او دوی دمخه د نړیوال ترانزیت سره د ارتباط لپاره پیسې ورکوي.
اوس موږ ورته عمودی جوړښت لرو. هرڅه به سم وي ، مګر نړۍ بدلیږي - لوی لوبغاړي د خپل شاتنۍ رامینځته کولو لپاره خپل ټرانسوسیانیک کیبلونه جوړوي.
د CDN کیبل په اړه خبرونه.
په 2018 کې، TeleGeography یوه څیړنه خپره کړه چې په انټرنیټ کې د نیمایي څخه ډیر ټرافیک اوس انټرنیټ نه دی، مګر د لوی لوبغاړو CDN شاته. دا هغه ټرافیک دی چې د انټرنیټ سره تړاو لري، مګر دا نور هغه شبکه نه ده چې موږ یې په اړه خبرې کولې.
انټرنېټ په لوی لاس تړل شوي شبکو ته ماتیږي.
مایکروسافټ خپله شبکه لري، ګوګل خپل لري، او دوی د یو بل سره لږ څه لري. ترافیک چې په متحده ایالاتو کې له کوم ځای څخه رامینځته شوی د مایکروسافټ چینلونو له لارې د بحر له لارې اروپا ته په CDN کې ځي ، بیا د CDN یا IX له لارې دا ستاسو چمتو کونکي سره وصل کیږي او ستاسو روټر ته رسیږي.
غیرمرکزي کول له منځه ځي.
د انټرنیټ دا ځواک، چې دا به د اټومي چاودنې ژوندي پاتې کیدو کې مرسته وکړي، له لاسه ورکوي. د کاروونکو او ترافیک تمرکز ځایونه څرګندیږي. که مشروط ګوګل کلاوډ راټیټ شي، نو په یوځل کې به ډیری قربانیان وي. موږ دا یو څه احساس کړ کله چې Roskomnadzor AWS بند کړ. او د CenturyLink مثال ښیې چې حتی کوچني شیان د دې لپاره کافي دي.
پخوا، نه هر څه او نه هرڅوک مات شوي. په راتلونکي کې، موږ ممکن دې پایلې ته ورسیږو چې د یو لوی لوبغاړي په نفوذ کولو سره، موږ کولی شو ډیر شیان مات کړو، په ډیری ځایونو او ډیری خلکو کې.
ایالتونه
ایالتونه په لیکه کې بل دي ، او دا هغه څه دي چې معمولا د دوی سره پیښیږي.
دلته زموږ Roskomnadzor حتی یو مخکښ نه دی. د انټرنیټ بندولو ورته عمل په ایران، هند او پاکستان کې شتون لري. په انګلستان کې د انټرنیټ بندولو احتمال په اړه یو قانون شتون لري.
هر لوی دولت غواړي د انټرنیټ بندولو لپاره سویچ ترلاسه کړي، یا په بشپړه توګه یا په برخو کې: ټویټر، ټیلیګرام، فیسبوک. دا نه ده چې دوی نه پوهیږي چې دوی به هیڅکله بریالي نشي، مګر دوی واقعیا غواړي. سویچ د یوې قاعدې په توګه د سیاسي موخو لپاره کارول کیږي - د سیاسي سیالانو د له منځه وړلو لپاره، یا ټاکنې نږدې دي، یا روسی هیکرانو یو څه مات کړي.
د DDoS بریدونه
زه به له خپلو ملګرو څخه د قرات لابراتوار څخه ډوډۍ نه اخلم، دوی دا زما څخه ډیر ښه کوي. هغوی ..لري دوی..لري د انټرنیټ ثبات په اړه. او دا هغه څه دي چې دوی د 2018 راپور کې لیکلي.
د DDoS بریدونو منځنۍ موده 2.5 ساعتونو ته راښکته کیږي. برید کوونکي هم د پیسو په شمیرلو پیل کوي، او که چیرې سرچینې سمدستي شتون ونلري، نو دوی ژر تر ژره یوازې پریږدي.
د بریدونو شدت مخ په ډیریدو دی. په 2018 کې، موږ په اکامي شبکه کې 1.7 Tb/s ولیدل، او دا حد نه دی.
د نوي برید ویکتورونه راڅرګندیږي او زاړه یې شدت کوي. نوي پروتوکولونه راڅرګندیږي چې د لوړولو لپاره حساس دي، او په موجوده پروتوکولونو، په ځانګړې توګه TLS او ورته ورته نوي بریدونه رامینځته کیږي.
ډیری ترافیک د ګرځنده وسیلو څخه دی. په ورته وخت کې، د انټرنیټ ټرافیک د ګرځنده پیرودونکو ته لیږدول کیږي. دواړه هغه څوک چې برید کوي او هغه څوک چې دفاع کوي باید د دې سره کار وکړي.
زیانمنونکي - نه. دا اصلي نظر دی - هیڅ نړیوال محافظت شتون نلري چې یقینا به د هر DDoS په وړاندې ساتنه وکړي.
سیسټم نشي نصب کیدی مګر دا چې انټرنیټ سره وصل نه وي.
زه امید لرم چې ما تاسو ډیر ډار کړی وي. اوس راځئ چې په دې اړه فکر وکړو چې څه وکړو.
چې څه کول پکار دي؟!
که تاسو وړیا وخت، لیوالتیا او د انګلیسي پوهه لرئ، په کاري ګروپونو کې برخه واخلئ: IETF، RIPE WG. دا خلاص میل لیستونه دي ، د بریښنالیک لیستونو کې ګډون وکړئ ، په بحثونو کې برخه واخلئ ، کنفرانسونو ته راشئ. که تاسو د LIR حالت لرئ، تاسو کولی شئ رایه ورکړئ، د بیلګې په توګه، د مختلفو نوښتونو لپاره RIPE کې.
دا یوازې د مړو لپاره دی څارنه. ترڅو پوه شي چې څه مات شوي دي.
څارنه: څه شی چیک کړئ؟
نورمال پینګ، او نه یوازې د بائنری چک - دا کار کوي یا نه. RTT په تاریخ کې ثبت کړئ نو تاسو کولی شئ وروسته بې نظمۍ وګورئ.
ټریسروټ. دا د TCP/IP شبکو کې د ډیټا لارو ټاکلو لپاره یو ګټور پروګرام دی. د اختلالاتو او خنډونو په پیژندلو کې مرسته کوي.
HTTP د دودیز URLs او TLS سندونو لپاره چک کوي د برید لپاره د بلاک کولو یا DNS سپوفینګ موندلو کې به مرسته وکړي ، کوم چې په عملي ډول ورته شی دی. بلاک کول اکثرا د DNS سپوفینګ لخوا ترسره کیږي او د سټیب پا pageې ته ترافیک بدلولو سره.
که امکان ولري، د مختلفو ځایونو څخه د خپلو مراجعینو حل وګورئ که تاسو غوښتنلیک لرئ. دا به تاسو سره مرسته وکړي چې د DNS تښتونې ګډوډي کشف کړي، هغه څه چې چمتو کونکي کله ناکله کوي.
څارنه: چیرته چک کول؟
هیڅ نړیوال ځواب شتون نلري. وګورئ چې کاروونکي له کوم ځای څخه راځي. که کاروونکي په روسیه کې وي، له روسیې څخه وګورئ، مګر ځان دې ته محدود نه کړئ. که ستاسو کاروونکي په مختلفو سیمو کې ژوند کوي، له دې سیمو څخه وګورئ. مګر د ټولې نړۍ څخه غوره.
څارنه: څه شی چیک کړئ؟
زه د دریو لارو سره راغلم. که تاسو نور پوهیږئ، په نظرونو کې ولیکئ.
- RIPE اتلس.
- سوداګریزه څارنه.
- ستاسو د مجازی ماشینونو شبکه.
راځئ چې د هر یو په اړه خبرې وکړو.
RIPE اتلس - دا دومره کوچنی بکس دی. د هغو کسانو لپاره چې د کورني "انسپکټر" پیژني - دا ورته بکس دی، مګر د مختلف سټیکر سره.
RIPE اتلس یو وړیا برنامه ده. تاسو راجستر کړئ، د بریښنالیک له لارې روټر ترلاسه کړئ او په شبکه کې یې ولګوئ. د دې حقیقت لپاره چې بل څوک ستاسو نمونه کاروي، تاسو ځینې کریډیټ ترلاسه کوئ. د دې پورونو سره تاسو کولی شئ پخپله یو څه تحقیق وکړئ. تاسو کولی شئ په مختلفو لارو ازموینه وکړئ: پینګ، ټریسروټ، چک سندونه. پوښښ خورا لوی دی، ډیری نوډونه شتون لري. خو nuances شتون لري.
د کریډیټ سیسټم د تولید حلونو جوړولو ته اجازه نه ورکوي. د روانې څیړنې یا سوداګریزې څارنې لپاره به کافي اعتبار نه وي. کریډیټ د لنډې مطالعې یا یو ځل چک لپاره کافي دي. د یوې نمونې څخه ورځنی نورم د 1-2 چکونو لخوا مصرف کیږي.
پوښښ نابرابر دی. څرنګه چې برنامه په دواړو خواوو کې وړیا ده، پوښښ په اروپا کې، د روسیې په اروپا کې او ځینې سیمو کې ښه دی. مګر که تاسو اندونیزیا یا نیوزیلینډ ته اړتیا لرئ ، نو هرڅه خورا خراب دي - تاسو ممکن په هر هیواد کې 50 نمونې ونه لرئ.
تاسو نشئ کولی د نمونې څخه http وګورئ. دا د تخنیکي نیمګړتیاوو له امله دی. دوی ژمنه کوي چې دا په نوې نسخه کې حل کړي، مګر د اوس لپاره http نشي کتل کیدی. یوازې د سند تصدیق کیدی شي. ځینې ډول HTTP چیک یوازې د ځانګړي RIPE اتلس وسیلې ته د اینکر په نوم ترسره کیدی شي.
دوهمه طریقه سوداګریزه څارنه ده. د هغه سره هرڅه سم دي، تاسو پیسې ورکوئ، سمه ده؟ دوی تاسو سره په ټوله نړۍ کې د څو درجن یا سلګونو نظارت نقطو ژمنه کوي او له بکس څخه ښکلي ډشبورډونه راوباسي. مګر، بیا، ستونزې شتون لري.
دا پیسې ورکول کیږي، په ځینو ځایونو کې دا خورا ډیر دی. د پینګ څارنه، په ټوله نړۍ کې چکونه، او ډیری http چکونه په کال کې څو زره ډالر لګښت کولی شي. که مالي اجازه درکړي او تاسو دا حل خوښ کړئ، مخکې لاړ شئ.
پوښښ ممکن د علاقې په سیمه کې کافي نه وي. د ورته پینګ سره، د نړۍ ډیره برخه د خلاصون برخه مشخص شوې - آسیا، اروپا، شمالي امریکا. د څارنې نادر سیسټمونه کولی شي یو ځانګړي هیواد یا سیمې ته ډرل شي.
د دودیز ازموینو لپاره ضعیف ملاتړ. که تاسو یو څه دود ته اړتیا لرئ ، او نه یوازې په یو آر ایل کې "کرلي" ، نو پدې کې هم ستونزې شتون لري.
دریمه لاره ستاسو څارنه ده. دا یو کلاسیک دی: "راځئ چې خپل ځان ولیکئ!"
ستاسو څارنه د سافټویر محصول په پراختیا بدلیږي، او یو توزیع شوی. تاسو د زیربنا چمتو کونکي په لټه کې یاست، وګورئ چې څنګه یې ګمارل او نظارت کول - نظارت ته اړتیا لیدل کیږي، سمه ده؟ او ملاتړ هم اړین دی. مخکې له دې چې تاسو دا کار واخلئ لس ځله فکر وکړئ. دا ممکن اسانه وي چې یو چا ته پیسې ورکړئ چې ستاسو لپاره یې وکړي.
د BGP بې نظمیو او DDoS بریدونو څارنه
دلته، د شته سرچینو پر بنسټ، هر څه حتی ساده دي. د BGP ګډوډي د ځانګړو خدماتو لکه QRadar، BGPmon په کارولو سره کشف کیږي. دوی د ډیری آپریټرانو څخه د بشپړ لید میز مني. د هغه څه پراساس چې دوی د مختلف آپریټرونو څخه ګوري ، دوی کولی شي ګډوډي کشف کړي ، امپلیفیرونه وګوري او داسې نور. نوم لیکنه معمولا وړیا ده - تاسو خپل د تلیفون شمیره دننه کړئ، د بریښنالیک خبرتیاو کې ګډون وکړئ، او خدمت به تاسو ته ستاسو ستونزې خبر کړي.
د DDoS بریدونو څارنه هم ساده ده. معمولا دا دی د NetFlow پر بنسټ او log. په څیر ځانګړي سیسټمونه شتون لري FastNetMonلپاره ماډلونه سپلک. د وروستي حل په توګه، ستاسو د DDoS محافظت چمتو کونکی شتون لري. دا کولی شي NetFlow هم لیکي او د دې پراساس به تاسو ته ستاسو په لور د بریدونو خبر درکړي.
موندنو
هیڅ فکر مه کوئ - انټرنیټ به خامخا مات شي. نه هر څه او نه به هر څوک مات شي، خو په ۲۰۱۷ کال کې ۱۴ زره پېښې په ډاګه کوي چې پېښې به وي.
ستاسو دنده دا ده چې ژر تر ژره ستونزې په ګوته کړئ. لږترلږه، ستاسو د کاروونکي څخه وروسته نه. نه یوازې دا مهمه ده چې یادونه وکړئ، تل د "پلان B" په زیرمه کې وساتئ. پلان یوه ستراتیژي ده چې تاسو به یې وکړئ کله چې هرڅه مات شي.: ریزرو چلونکي، DC، CDN. پلان یو جلا چک لیست دی چې په مقابل کې تاسو د هرڅه کار چیک کوئ. پلان باید د شبکې انجنیرانو د ښکیلتیا پرته کار وکړي، ځکه چې معمولا لږ شمیر شتون لري او دوی غواړي خوب وکړي.
بس نور څه نه. زه تاسو ته د لوړ شتون او شنه نظارت هیله کوم.
راتلونکې اونۍ په نووسیبیرسک کې لمر ، لوړ بار او د پراختیا کونکو لوړ غلظت تمه کیږي . په سایبریا کې، د څارنې، لاسرسي او ازموینې، امنیت او مدیریت په اړه د راپورونو مخکی وړاندوینه کیږي. اورښت په ټولنیزو شبکو کې د لیکل شوي نوټونو، شبکې کولو، عکسونو او پوسټونو په بڼه تمه کیږي. موږ وړاندیز کوو چې د جون په 24 او 25 ټول فعالیتونه وځنډول شي . موږ په سایبریا کې ستاسو په تمه یو!
سرچینه: www.habr.com